Trojaner
Swizzor


Trojaner Obfuscated-Swizzor-Lop-Netpumper-MessengerPlus!3 - Anti-Leech

weiter Link ->No Lop
weiter Link ->cid-uninstaller

BEISPIEL

Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten

23.06.2006 22:39 -DIR- CLOCKA~1 clockamenpeak
21.06.2006 06:41 -DIR- NETPUM~1 NetPumper

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

25.04.2006 17:27 -DIR- MESSEN~1 Messenger Plus!
16.06.2006 17:06 -DIR- ONLINE~1 online okay each axis

Verzeichnis von C:\WINDOWS\tasks
24.06.2006 12:00 262 A827088B9184BF9F.job

2006-07-28 23:20 -------- d-------- C:\Programme\Messenger Plus! Live
2006-07-28 23:20 -------- d-------- C:\Programme\curbboobcomp
2006-07-28 23:13 -------- d-------- C:\Programme\MessengerPlus! 3

c:\dokumente und einstellungen\all users\startmenü\programme\netpumper
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Programme\NetPumper
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Application.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Audio.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Video.dll

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Programme\Messenger Plus! Live
C:\Programme\MessengerPlus! 3
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2

C:\Programme\Anti-Leech

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN

weiter Link : SWIZZOR-Trojaner - Swizzor - Trojaner - Obfuscated.BT.1 - Dldr.Swizzor.Gen
weiter Link : LOP - Trojaner TR/Swizzor, Lop Verseuchung - www.lop.com

Zitat
Messenger Plus! 3 von msgplus.net heruntergeladen. Installiert - natürlich mit der Sponsoring-Option. Das Ding verändert meine Startseite und ballert mich mit PopUps zu. Außerdem legt es ein paar unnütze Verknüpfungen auf meinem Desktop ab und beschert mir beim IE mehrere "hübsche" Werkzeugleisten. In den Favoriten werden Links zu Online-Casinos und verschiedenen Online-Shops eingefügt. Ich mag das nicht, also wird es deinstalliert - aber erstmal nur die Sponsorensoftware. Doch das Programm mag das irgendwie nicht... es stürzt bei dem Versuch ab

[ 1.]
- Versteckte- und Systemdateien sichtbar machen... weiter

[ 2. ]
- CleanUp...anwenden... weiter

[ 3. ]

BEISPIEL:

- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.otzofdwxjijkexycdfchxvjk.net/LcBVhruWnLyfYPwSKQWdC9zVCwDg4Gn5rsM4adb2DL49jzZlEG7cu6PPZ5lwev29.html

O2 - BHO: (no name) - {6A8CA112-9F56-640B-67CB-0C170359C7C8} - C:\DOKUME~1\Username\ANWEND~1\WAITBI~1\Bash Ante.exe

O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\System32\im_2.exe

O4 - HKLM\..\Run: [DownloadDrawThunkBike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Remote Download Draw\Option 01.exe

O4 - HKCU\..\Run: [Platform Seek] C:\DOKUME~1\Username\ANWEND~1\THUNKL~1\window cool.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Username\LOKALE~1\Temp\MsgPlusUninst.bat"

O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

[ 4. ]
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen. Es kommt dann folgende Fehlermeldung:

lop trojaner

[ 5. ]
Deinstallieren:

"Start -> Einstellungen -> Systemsteuerung -> Software"

Messenger Plus! 3 Sponsor

C:\Programme\MessengerPlus! 3 - [siehe :] MessengerPlus! 3

C:\Programme\NetPumper\NetPumperIEProxy.exe

C:\PROGRAMME\C2Media

C:\Programme\Anti-Leech

das Sponsor-Programm (siehe PopUps !! )

C:\Programme\Adverts -> [c:\programme\adverts\uninst.exe]

[ 6. ]
Löschen:
BEISPIEL - Bezeichnungen sind in jedem Fall verschieden

C:\Dokumente und Einstellungen\Username\Anwendungsdaten\clockamenpeak
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\online okay each axis

C:\WINDOWS\System32\im_2.exe --> löschen, falls es vorhanden ist

[ 7. ] -> nur XP
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

[ 8. ]
löscht die Einträge in der Registry von MessengerPlus! 3 und Netpumper
Counterspy/Vipre

* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

[ 9. ]
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
Dr.Web Cureit

danach die Quarantine leeren !

Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0059986.exe
Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0061529.exe

[ 10. ]
scanne mit Panda und lösche alles manuell, was noch angezeigt wird
Onlinescanner

[ 11. ] (Beispiel)
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text in deinen Thread im Sicherheitsforum

Ergebnis (Beispiel)

Volumeseriennummer: 74A0-08B6
Verzeichnis von C:\WINDOWS\tasks
14.04.2006 17:00 282 A58DA13791965BA7.job

BEISPIEL: .. den Task kann man nur korrekt löschen, wenn der Eintrag von findjobs.bat (siehe oben) bekannt ist !!!! In diesem Beispiel-Fall ist es A58DA13791965BA7.job , jedoch ist der Eintrag bei jeder Verseuchung mit Swizzor ein anderer.
Man muss also den gleichen Eintrag in die remjob.bat einsetzen, welcher in der findjobs.bat gefunden wurde.

---------------------

A58DA13791965BA7.job -Beispiel:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A58DA13791965BA7.job
del A58DA13791965BA7.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

[ 11. ]
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

[ 12. ]
falls du mit dem IE surfst und noch nicht den Browser Firefox installiert hast, so installiere ihn. Stelle ihn als Standartbrowser ein . Der IE bleibt fuer die WindowsUpdates.

weiter Anleitung: Firefox installieren

weiter Panda-Online-Scan ..man muss dann alles manuell löschen !

Adware:Adware/Lop

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\KeepCoal.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\Soapglue.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\balm bird stop.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\oyrzmqmr.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\qpjcvenv.exe

weiter mit CleanUp löschen

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLYNW16N\upAYB_unk[1].int
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZTR744N\upAYB_unk[1].int

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\10f246.exe
C:\Dokumente und Einstellungen\Userame\Lokale Einstellungen\Temp\62d114.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1b17f4.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\56b624.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\faad3.exe

diese exe werden ständig nachgeladen, wenn man nicht alle Dateien unter "Anwendungsdaten" gelöscht hat.....

H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Bagsmp3.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Body debug.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\dateace.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Fork Bait.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\intra copy.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Window Rdr.exe

alle diese Ordner haben noch Unterordner:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\BIBBRO~1\Bird blah.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\LOUDDR~1\Plus exit.exe

weiter man sollte kein Proggie benutzen, mit oder ohne Sponsor, das einen Trojaner mit auf den PC bringt !!!

"Help improve Messenger Plus"...der reinste Witz!!! da man sich mit diesem "Help" den PC verseucht....

messenger3

C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
C:\WINDOWS\Downloaded Program Files\MSNPupld.inf

C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\User\LOKALE~1\Temp\MsgPlusUninst.bat

c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\detoured.dll
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\libsndfile.dll
c:\programme\messengerplus! 3\lame_enc.dll
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\richedhook.dll
c:\programme\messengerplus! 3\msgplusloader.dll

Spyware/Adware installiert über Messenger Plus!

Malware being advertised at Msgplus... weiter

- advertising PrecisionTime by Gator

- advertising Dashbar by Gator

- "free Smileys" advertised at msgplus.net come from "Smiley Central"

- PS. Patchou says he no longer advertises Smiley Central [Smiley Central are also SPAMMERS]

- SpyBlocs/eBlocs - Rogue Status Update

SpyBlocs and eBlocs have been on the Suspect/Rogue Anti-Spyware list since it was first published on July 26, and with good reason. Comments on the page state: aggressive, deceptive advertising; false positives work as goad to purchase

weiter Superantispyware

C:\Dokumente und Einstellungen\Username\Anwendungsdaten\ISOBOD~1\MULTIE~1.EXE
[Forintrabrowseview] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\Multi else.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\whjbyhdl.exe
C:\Programme\Adverts\uninst.exe
C:\WINDOWS\Prefetch\INTRAGREY.EXE-10365FE4.pf
C:\WINDOWS\Prefetch\MULTIE~1.EXE-1852AE4F.pf







virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam